image

VS waarschuwt voor sanctierisico's bij betalen van losgeld ransomware

vrijdag 24 september 2021, 10:19 door Redactie, 9 reacties

Het Amerikaanse ministerie van Financiën heeft een advisory afgegeven waarin het bedrijven waarschuwt die losgeldbetalingen bij ransomware doen of faciliteren, waaronder banken en verzekeringsmaatschappijen, dat ze mogelijk regelgeving overtreden en het risico op sancties lopen. Eerder deze week nam het ministerie voor het eerst sancties tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen.

Volgens het ministerie is er tijdens de coronacrisis een toename van het aantal ransomware-incidenten geweest. "Bedrijven die voor slachtoffers ransomwarebetalingen aan aanvallers faciliteren, waaronder financiële instellingen, cyberverzekeringsmaatschappijen en bedrijven betrokken bij digitaal forensisch onderzoek en incident response, moedigen niet alleen toekomstige eisen voor ransomwarebetalingen aan maar riskeren ook het overtreden van OFAC-regelgeving", aldus het ministerie.

De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. Het ministerie stelt in de waarschuwing dat er ook een mogelijk "sanctierisico" is bij het faciliteren en betalen van losgeld. Tegelijkertijd benadrukt het ministerie dat deze vermelding alleen ter informatie is en geen wetgeving betreft. Verder worden bedrijven en burgers in de waarschuwing opgeroepen om het losgeld bij ransomware niet te betalen en zich juist te richten op preventie- en beschermingsmaatregelen tegen ransomware.

Reacties (9)
24-09-2021, 11:01 door Anoniem
Tja, goedkoop is duurkoop.
Geen geld over hebben voor een goede backup en beveiliging, betekent dat je aan de wolven overgeleverd bent als het fout gaat. "The cost of doing business". Het losgeld betalen is blijkbaar goedkoper.
Het lijkt me dat daar het echte probleem zit.

Een mogelijk oplossing; Maak het betalen van losgeld onbetaalbaar.
Dan gaan bedrijven of failliet of gaan een betere beveiliging regelen (dat is dan goedkoper)


Wel opvallend dat een crypto-beurs sancties opgelegt krijgt (voor wat het waard is), maar de slachtoffers die betalen en de (Amerikaanse) banken die dat faciliteren, niet. Het is wel weer duidelijk hoe belangrijk dit probleem in de VS gevonden wordt.

(Megaupload iemand)
24-09-2021, 13:17 door Arnoud Engelfriet
Ik heb vanuit ethisch perspectief wel moeite met slachtoffers van een misdrijf dingen opleggen, zoals een verbod tot betalen van losgeld. Dat doen we bij traditionele gijzeling ook niet, toch?
24-09-2021, 14:06 door Anoniem
Door Anoniem: Tja, goedkoop is duurkoop.
Geen geld over hebben voor een goede backup en beveiliging, betekent dat je aan de wolven overgeleverd bent als het fout gaat. "The cost of doing business". Het losgeld betalen is blijkbaar goedkoper.
Het lijkt me dat daar het echte probleem zit.

Een mogelijk oplossing; Maak het betalen van losgeld onbetaalbaar.
Dan gaan bedrijven of failliet of gaan een betere beveiliging regelen (dat is dan goedkoper)


Wel opvallend dat een crypto-beurs sancties opgelegt krijgt (voor wat het waard is), maar de slachtoffers die betalen en de (Amerikaanse) banken die dat faciliteren, niet. Het is wel weer duidelijk hoe belangrijk dit probleem in de VS gevonden wordt.

(Megaupload iemand)

Het probleem is veel complexer en ipv vinger te wijzen en symptoombestrijding is het verstandiger om naar de structurele oorzaken te kijken.

1. Softwarebedrijven worden niet aansprakelijk gehouden voor ernstige bugs en designfouten, mooi voorbeeld zijn de printerissues die zich in Windows voordoen omdat Microsoft hun printerspooler vanwege "legacy" redenen nog als system laat draaien, ook verplaatst Microsoft steeds meer beveiligingsfunctionaliteit naar enterprise SKU's en abonnementsdiensten waarbij men opzettelijk de veiligheidsproblemen in de basis versies van Windows negeert om mensen maar meer te laten betalen. Dat is de belangrijkste oorzaak.

2. Beveiliging is voor veel mensen een ver van hun bed show en het is ook vaak een sluitpost: iets waar de overheid ook medeschuldig aan is (we hebben wel een minster van landbouw maar geen ict/infra minister).

3. Beveiliging wordt ook steeds complexer, het aantal aanvalsvectoren steeds groter, steeds meer "off the shelf" software zodat de impact ook steeds groter wordt en de kosten voor criminelen steeds kleiner tov de opbrengst. Ook steeds minder echte ict-specialisten die een brede kijk hebben.

4. Er wordt te weinig opgetreden tegen dictaturen zoals Rusland, Iran, Noord-Koreao en China die criminelen beschermen omdat deze onderdeel uitmaken van hun online oorlogsstrategie, soms best lastig natuurlijk als een dictatuur veel economische macht heeft zoals China maar zeker niet onmogelijk, Rusland, Iran en NK mogen dan niets te verliezen hebben maar voor China is dat een ander verhaal.

5. Steeds meer economische bedrijvigheid wordt gebouwd op ict-drijfzand: de economische belangen zijn groot en aanvallen relatief goedkoop: korte termijn aandeelhoudersdenken is daar de primaire oorzaak van, dat moet ook echt aangepakt worden als we de impact van dit soort zaken willen verminderen.
24-09-2021, 18:19 door Anoniem
Door Anoniem: Het probleem is veel complexer en ipv vinger te wijzen en symptoombestrijding is het verstandiger om naar de structurele oorzaken te kijken.

Complexe problemen moet i je in stukjes aanpakken. Alles in een keer lukt meestal niet.
Dat wordt gezien als: Te complex. Duurt te lang. Te duur. Geen snelle resultaten.

Soms moet je met kleine stapjes beginnen. Bv door dit probleem (het betalen van losgeld) eerst aan te pakken.
En daar zou "het losgeld betalen" te duur maken, een onderdeel van kunnen zijn. Zie dat als de stok.
En als wortel kan de overheid de organisaties meer/beter helpen om ze weerbaarder te maken. (voor zover dat geen weggegooid geld is)
24-09-2021, 21:51 door karma4
Door Anoniem:
Het probleem is veel complexer en ipv vinger te wijzen en symptoombestrijding is het verstandiger om naar de structurele oorzaken te kijken......
Het grootste probleem.is niet eens technisch.

Afhankelijkheid van beherders als personen en in uitbestedingsketens is een veel groter probleem. Zelfs de basis wie wanneer ergens bij zou moeten wordt niet geregeld omdat daarover nadenken al veel te duur is.
25-09-2021, 09:20 door Briolet
Door Arnoud Engelfriet: Ik heb vanuit ethisch perspectief wel moeite met slachtoffers van een misdrijf dingen opleggen, zoals een verbod tot betalen van losgeld. Dat doen we bij traditionele gijzeling ook niet, toch?

Volgens mij juist wel. Dit is een advies in de VS en daar is het betalen van losgeld bij ontvoeringen al heel lang strafbaar.

Door consequent geen losgeld te betalen stopt de gijzeling vanzelf. Door te betalen, gooi je olie op het vuur en maak je het probleem erger. Je kunt de ethiek dus ook omdraaien en zeggen dat betalen juist ethisch onverantwoord is omdat je helpt nieuwe slachtoffers te maken.
26-09-2021, 07:06 door [Account Verwijderd] - Bijgewerkt: 26-09-2021, 07:06
Door Briolet:
Door Arnoud Engelfriet: Ik heb vanuit ethisch perspectief wel moeite met slachtoffers van een misdrijf dingen opleggen, zoals een verbod tot betalen van losgeld. Dat doen we bij traditionele gijzeling ook niet, toch?

Volgens mij juist wel. Dit is een advies in de VS en daar is het betalen van losgeld bij ontvoeringen al heel lang strafbaar.

Door consequent geen losgeld te betalen stopt de gijzeling vanzelf. Door te betalen, gooi je olie op het vuur en maak je het probleem erger. Je kunt de ethiek dus ook omdraaien en zeggen dat betalen juist ethisch onverantwoord is omdat je helpt nieuwe slachtoffers te maken.

Dat geldt misschien voor de statistieken maar voor je ontvoerde geliefde of werknemer kan het een doodvonnis betekenen. Met dank aan dergelijk beleid.
26-09-2021, 08:42 door karma4
Door Briolet:
Door Arnoud Engelfriet: Ik heb vanuit ethisch perspectief wel moeite met slachtoffers van een misdrijf dingen opleggen, zoals een verbod tot betalen van losgeld. Dat doen we bij traditionele gijzeling ook niet, toch?

Volgens mij juist wel. Dit is een advies in de VS en daar is het betalen van losgeld bij ontvoeringen al heel lang strafbaar.

Door consequent geen losgeld te betalen stopt de gijzeling vanzelf. Door te betalen, gooi je olie op het vuur en maak je het probleem erger. Je kunt de ethiek dus ook omdraaien en zeggen dat betalen juist ethisch onverantwoord is omdat je helpt nieuwe slachtoffers te maken.
In Amerika en wat andere gebieden is het eisen en betaald krijgen van beschermingsgeld heel normaal.
Dat is olie op het vuur gooien maar wel degelijk geaccepteerd. Niets is echt zo zwart/wit.
Ga je heel ver dan mag je geen beveiligers en beveiliging inzetten omdat zoiets de strijd versterkt.
Uiteindelijk kom je dat sloten op deuren verboden zijn en eigen bezit.nog privacy niet toegestaan is.
26-09-2021, 13:15 door [Account Verwijderd] - Bijgewerkt: 26-09-2021, 13:18
Door Briolet:
Door Arnoud Engelfriet: Ik heb vanuit ethisch perspectief wel moeite met slachtoffers van een misdrijf dingen opleggen, zoals een verbod tot betalen van losgeld. Dat doen we bij traditionele gijzeling ook niet, toch?

Volgens mij juist wel. Dit is een advies in de VS en daar is het betalen van losgeld bij ontvoeringen al heel lang strafbaar.

Door consequent geen losgeld te betalen stopt de gijzeling vanzelf. Door te betalen, gooi je olie op het vuur en maak je het probleem erger. Je kunt de ethiek dus ook omdraaien en zeggen dat betalen juist ethisch onverantwoord is omdat je helpt nieuwe slachtoffers te maken.

Met alle respect voor het soms zeer nodige gortdroge juridische gehakketak, maar hoe verdedig je het verbieden van losgeldeisen zonder de (in)directe slachtoffers inhumaan tegemoet te komen als wetgever?

Ga bijvoorbeeld een vrouwelijke CEO van een groot bedrijf wiens dochter van 7 jaar oud is ontvoerd en de bedreiging is geuit dat als er binnen 72 uur niet een bedrag van 25.000.000 aan geëiste valuta wordt betaald het meisje om het leven wordt gebracht, maar strikt opleggen dat zij daar niet op in mag gaan, en dan ook nog op straffe van....? ?

Hoe denk je dat de (jouw) motivatie: "u mag geen losgeld betalen omdat dit mogelijkerwijze veroorzaakt dat er hierna opnieuw gijzelingen worden uitgevoerd", binnenkomt bij iemand die mentaal totaal kapot is van de stress: verdriet, totale vertwijfeling, ontreddering en allesoverheersende angst, haar kind ooit nog levend terug te zien?

Dat is het ethische perspectief waar Arnoud op doelt.

Het bovenstaande is geen drama act verdorie nog an toe hé!

Alsjeblieft! Denk eens humaan na toegespitst op het individu, die zo'n afschuwelijk feit overkomt!

Sterk subjectief gesteld: Als ik dit als vader te horen kreeg, schopte ik degene die mij dat kwam meedelen de deur uit en en wel zover dat hij aan de overkant van de straat pas opstond.

Dus:

Wie heeft de moed gortdroog op te leggen dat betalen van losgeld verboden is? Je bent dan - nu word ik misschien grof - een autist die een gebrekkige of misschien afwezige empathie heeft voor menselijke gevoelens, of je bent een jurisdictiefreak, of, hoewel zéér subjectief gesteld... sadist.

P.s.

@Briolet, ik bedoel jou niet specifiek in het voorgaande, maar het is een algemene afsluitende stelling van mij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.